Öffnen Sie die Augen
Bei Umstrukturierungen oder Veränderungen im Unternehmen haben die verantwortlichen Kollegen alles Mögliche im Kopf. Da kann es passieren, dass man das Thema Datenschutz vergisst oder dem nicht die nötige Relevanz beimisst.
Dabei ist klar: Die Datenschutz-Grundverordnung (DSGVO) verzeiht keine Patzer. Schlimmstenfalls drohen viel Ärger und hohe Kosten, etwa für Bußgelder.
Steuern Sie dem entgegen. Erläutern Sie beispielsweise in einem Gespräch die folgenden Fallstricke:
Fallstrick Nr. 1: Unklare Verantwortlichkeiten
Veränderungen, etwa der Neuzuschnitt von Abteilungen oder die Verlagerung von (Datenverarbeitungs-)Prozessen, können zu einer Art Verantwortungsvakuum führen.
So fühlt sich der abgebende Bereich nicht mehr verantwortlich und der neue Bereich noch nicht verantwortlich. Hier sollten die Übergänge der Verantwortung vom einen zum anderen Bereich klar definiert und dokumentiert sein.
Fallstrick Nr. 2: Fehlende Rechtsgrundlage
Für jede Verarbeitung personenbezogener Daten bedarf es einer Rechtsgrundlage. Daneben muss schon bei der Erhebung der Zweck definiert sein.
Sollen Daten ausgelagert werden, etwa an eine neue Tochtergesellschaft, wird das unter Umständen nicht von der bisherigen Rechtsgrundlage gedeckt sein.
Insofern muss genau geprüft werden, unter welchen Umständen eine Übertragung von Prozessen und personenbezogenen Daten möglich ist, etwa auf Basis der Vorgaben von Art. 6 Abs. 4 DSGVO.
Fallstrick Nr. 3: Verletzung von Betriebsvereinbarungen
Betriebsvereinbarungen regeln oft, wie technische Einrichtungen, beispielsweise ein System, im Unternehmen eingesetzt werden dürfen.
Auch wenn sie oft nicht als Rechtsgrundlage taugen, weil etwa die Anforderungen aus Art. 88 Abs. 2 DSGVO nicht umgesetzt sind, sind meist wichtige Rahmenbedingungen für die Verarbeitung personenbezogener Daten enthalten.
So z. B., welche Daten für welchen Zweck verarbeitet werden dürfen, welche Auswertungen erlaubt sind oder an wen die Weitergabe von Daten möglich ist.
Solche Einschränkungen spielen immer eine Rolle. Werden Rahmenbedingungen im Unternehmen verändert oder Prozesse ausgelagert, kann es schnell zum Verstoß gegen eine Betriebsvereinbarung kommen.
Schlimmstenfalls kann dann der Betriebsrat die Verarbeitung gerichtlich stoppen lassen, weil der Arbeitgeber die gemeinsame Regelung nicht umsetzt.
Fallstrick Nr. 4: Reduzierte Schutzmaßnahmen
Werden Verarbeitungen oder Prozesse verändert oder andere Stellen im oder außerhalb des Unternehmens verlagert, muss das so passieren, dass auch während dieses Veränderungsprozesses die Sicherheit der Verarbeitung und der betreffenden Daten gewährleistet bleibt (Art. 32 DSGVO).
Abstriche bei den Schutzmaßnahmen können grundsätzlich nicht gemacht werden. Denkt man hierüber nach, ist eine Risikobewertung unerlässlich.
Denn nur auf deren Basis kann bewertet werden, inwieweit andere oder geringere Schutzmaßnahmen risikoangemessen sind.
Fallstrick Nr. 5: Cyberkriminelle haben leichteres Spiel
Veränderungen bringen Unsicherheiten mit sich. So erhalten Beschäftigte neue Aufgaben oder neue Vorgesetzte. Auch Berichtslinien können sich ändern.
Gerade in der Übergangsphase steigt das Risiko, dass Cyberkriminelle die Situation ausnutzen und etwa mit Phishing-E-Mails leichteres Spiel haben.
Umso wichtiger ist, dass Beschäftigte in Sachen Veränderungen auf dem Laufenden gehalten werden. Auch das Sensibilisieren für mögliche Gefahren ist in der Übergangszeit unerlässlich.
Fallstrick Nr. 6: Vergessene Datenschutzvereinbarungen
Werden Verarbeitungen verlagert oder Dienstleister mit der Verarbeitung beauftragt, muss geklärt werden, wie sich die Situation der Beteiligten unter Datenschutzaspekten darstellt.
Bestimmt Ihr Unternehmen weiterhin allein über Mittel und Zwecke, kann eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vorliegen. Eventuell besteht auch eine gemeinsame Verantwortung (Art. 26 DSGVO).
Doch auch bei einer Übermittlung von Daten zwischen Verantwortlichen kann Regelungsbedarf bezüglich der betreffenden personenbezogenen Daten bestehen. Und das muss erledigt sein, bevor es in die praktische Umsetzung geht.
Fallstrick Nr. 7: Unzureichende Datenschutzorganisation
Kommt es zu Veränderungen, kann das erhebliche Folgen für die Datenschutzorganisation haben. Da wären etwa Know-how-Träger, die das Unternehmen verlassen.
Eventuell passen auch Strukturen oder Regelungen nicht mehr zum zukünftigen Zuschnitt. Was außerdem gerne vergessen wird: Wird eine Tochtergesellschaft gegründet, kann für diese ein Datenschutzbeauftragter erforderlich sein.
Ob Sie das übernehmen können, ist meist auch eine Frage der Kapazität. Schließlich gibt es gerade bei neuen Unternehmen vieles zu erledigen. Zugleich ist der Beratungsbedarf oft ziemlich groß und die Fälle sind eher kein Standard.
